Login Probar gratis
OpenVPN vs WireGuard: cuál elegir y cómo configurarlo

OpenVPN vs WireGuard: cuál elegir y cómo configurarlo

por MataSpam Herramientas de Seguridad

Si quieres montar tu propia VPN sin pagar suscripciones mensuales a servicios opacos, la decisión se reduce a dos protocolos: OpenVPN o WireGuard. La comparativa openvpn vs wireguard tiene una respuesta corta —WireGuard gana en velocidad y simplicidad, OpenVPN gana en compatibilidad y madurez— y una respuesta larga que depende de qué uses, dónde lo despliegues y cuánto te guste tocar archivos de configuración a las dos de la mañana. Montar una vpn propia ya no requiere ser administrador de sistemas con barba canosa: con un VPS de cinco euros al mes y media hora de paciencia tienes túnel cifrado funcionando. Vamos a ver cómo configurar vpn con ambos protocolos, qué CVEs deberías vigilar y por qué ese amigo que insiste en usar PPTP merece ser ignorado.

OpenVPN vs WireGuard: la comparativa que importa

OpenVPN existe desde 2001 y arrastra todo el peso de dos décadas de parches. WireGuard apareció en 2015 de la mano de Jason A. Donenfeld y entró en el kernel de Linux en marzo de 2020 con la versión 5.6. Esa diferencia generacional se nota.

WireGuard tiene unas 4.000 líneas de código auditable. OpenVPN supera las 100.000 contando OpenSSL. Menos código, menos superficie de ataque, menos lugares donde esconder bugs. La criptografía también es distinta: WireGuard usa ChaCha20, Poly1305, Curve25519 y BLAKE2s sin negociación de algoritmos, lo que elimina ataques de degradación. OpenVPN permite negociar cifrados, lo que aporta flexibilidad pero también complejidad.

CriterioOpenVPNWireGuard
Velocidad típicaAproximadamente 200-400 MbpsAproximadamente 700-1000 Mbps
Tiempo de conexión2-5 segundosMenos de 1 segundo
Líneas de código+100.000~4.000
Protocolos transporteTCP y UDPSolo UDP
Compatibilidad firewallsExcelente (puerto 443/TCP)Limitada
NAT roamingReconexión necesariaTransparente
ConfiguraciónComplejaTrivial

Cuándo elegir OpenVPN

OpenVPN sigue siendo la opción correcta en escenarios donde WireGuard se queda corto. Si necesitas atravesar firewalls corporativos restrictivos, OpenVPN sobre TCP/443 se camufla como tráfico HTTPS y pasa donde WireGuard rebota. En redes hostiles —hoteles, aeropuertos, ciertos países con DPI agresivo— esa flexibilidad marca la diferencia.

También gana cuando hablamos de autenticación granular. OpenVPN soporta certificados X.509, autenticación LDAP, RADIUS, MFA con plugins y revocación de credenciales mediante CRL u OCSP. WireGuard solo conoce claves públicas: si un dispositivo se pierde, hay que regenerar la configuración del peer en el servidor manualmente.

Vigila las vulnerabilidades históricas. CVE-2022-0547 afectó al sistema de plugins de autenticación de OpenVPN. CVE-2024-27459 explotó un desbordamiento en el cliente de Windows. Mantener el binario actualizado no es opcional, es supervivencia. Si gestionas una red empresarial, considera leer también nuestra guía sobre cifrar las comunicaciones de tu empresa para el contexto completo.

Cuándo elegir WireGuard

WireGuard es la elección obvia para uso personal y para la mayoría de despliegues modernos. La configuración cabe en quince líneas. El roaming entre redes es transparente: cambias de WiFi a 4G y el túnel sigue activo sin reconexión perceptible. El consumo de batería en móviles es notablemente menor.

El rendimiento es donde realmente brilla. En un VPS modesto con kernel reciente, WireGuard satura conexiones gigabit sin despeinarse. OpenVPN, incluso con AES-NI, rara vez supera los 400 Mbps en hardware equivalente. Para streaming, gaming o transferencias grandes, la diferencia es contundente.

Las pegas reales: el cliente WireGuard estándar registra tu IP pública en el servidor (necesario para el handshake), lo que choca con la idea purista de "VPN sin logs". Soluciones como AmneziaWG o configuraciones con IP dinámica mitigan esto. Y al usar exclusivamente UDP, redes que solo permiten TCP te dejarán fuera.

Cómo configurar una VPN propia con WireGuard

Para montar tu vpn propia con WireGuard en un VPS Ubuntu 22.04 o superior, los pasos son directos. Asume que tienes acceso root y un puerto UDP abierto (el 51820 por defecto).

  1. Instalar WireGuard: apt update && apt install wireguard wireguard-tools
  2. Generar claves del servidor: wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key
  3. Crear /etc/wireguard/wg0.conf con la interfaz, dirección 10.0.0.1/24, ListenPort 51820 y la PrivateKey generada
  4. Habilitar IP forwarding: descomentar net.ipv4.ip_forward=1 en /etc/sysctl.conf y aplicar con sysctl -p
  5. Configurar reglas iptables/nftables para NAT mediante PostUp y PostDown en wg0.conf
  6. Generar claves del cliente y añadir su clave pública como [Peer] en el servidor
  7. Activar la interfaz: wg-quick up wg0 y habilitar el servicio: systemctl enable wg-quick@wg0

Para clientes móviles, la app oficial de WireGuard escanea códigos QR generados con qrencode -t ansiutf8 < cliente.conf. En treinta segundos tienes el dispositivo conectado.

Cómo configurar OpenVPN sin perder la cordura

OpenVPN requiere más pasos pero evita problemas en entornos restrictivos. La forma sensata de configurar vpn con OpenVPN es usar el script openvpn-install de Nyr (disponible en GitHub), que automatiza la generación de la PKI con EasyRSA, configura el demonio y crea perfiles .ovpn listos para importar.

  1. Descarga el script: wget https://git.io/vpn -O openvpn-install.sh
  2. Ejecútalo como root y responde las preguntas: protocolo (UDP recomendado, TCP/443 si pasas firewalls), puerto, DNS
  3. El script genera /root/cliente.ovpn con todos los certificados embebidos
  4. Importa el archivo en OpenVPN Connect (móvil) o OpenVPN GUI (escritorio)

Si prefieres entender qué hace cada cosa —recomendable—, la documentación oficial de OpenVPN Community detalla el proceso manual con generación de CA, certificados de servidor y cliente, parámetros DH y claves TLS-Auth. Es tedioso pero educativo. Para refinar la seguridad post-instalación, revisa nuestro artículo sobre señales de malware en tu equipo: una VPN no sirve de nada si tu cliente está comprometido.

Errores comunes al montar tu propia VPN

El primer error es elegir mal el proveedor de VPS. Hetzner, Contabo y OVH ofrecen servidores baratos con buen ancho de banda en Europa, pero verifica las políticas de logging del proveedor. Un VPS en jurisdicciones con leyes de retención de datos agresivas anula parte del beneficio.

El segundo error es ignorar el endurecimiento del servidor. Una VPN expuesta es un servidor expuesto: aplica fail2ban, deshabilita el login SSH por contraseña, usa claves Ed25519 y mantén el sistema actualizado con unattended-upgrades. Si quieres un guión más amplio sobre privacidad digital, en facilparatodos.es hay material accesible para usuarios menos técnicos.

El tercer error es pensar que una VPN te hace anónimo. Una VPN cifra el tráfico entre tú y el servidor; el servidor sigue viendo qué haces. Para anonimato real necesitas Tor, y aun así con matices. Una VPN propia bien configurada protege de tu ISP, de redes WiFi públicas y de geo-bloqueos básicos. Nada más, nada menos.

Preguntas frecuentes

¿WireGuard es realmente más seguro que OpenVPN?

Más auditable, sí. Más seguro depende del despliegue. WireGuard usa primitivas criptográficas modernas y menos código, pero OpenVPN con configuración correcta y cifrado AES-256-GCM también es robusto. La seguridad real depende más de cómo gestionas claves y actualizaciones que del protocolo elegido.

¿Puedo usar una VPN propia para ver Netflix de otro país?

Técnicamente sí, en la práctica regular. Plataformas de streaming bloquean sistemáticamente rangos IP de proveedores VPS conocidos. Funciona unos días o semanas hasta que detectan el bloque. VPNs comerciales con IPs residenciales rotativas tienen mejor tasa de éxito en este caso concreto.

¿Qué puerto debo usar para que pase los firewalls?

OpenVPN sobre TCP/443 es la opción más camuflada porque imita HTTPS. WireGuard es más detectable por el patrón de paquetes UDP. Si trabajas desde redes corporativas restrictivas, OpenVPN/443 es la elección sensata. Para uso doméstico, el puerto 51820/UDP de WireGuard funciona perfecto.

¿Cuánto cuesta montar una VPN propia?

Un VPS básico cuesta aproximadamente entre 3 y 8 euros al mes según proveedor. Suficiente para uso personal e incluso pequeñas familias. El ancho de banda incluido suele rondar entre 1 y 20 TB mensuales, más que suficiente para uso normal.

¿Necesito conocimientos técnicos avanzados?

Para WireGuard con scripts como wg-easy o PiVPN, no. Hay interfaces web que automatizan todo. Para OpenVPN manual, sí necesitas comodidad con la línea de comandos. Si prefieres delegar la infraestructura, en piqture.cat tratamos despliegues técnicos para empresas.

El siguiente paso

Alquila un VPS por cinco euros al mes en Hetzner o Contabo, ejecuta el script wg-easy mediante Docker (docker run -d --name=wg-easy ghcr.io/wg-easy/wg-easy) y tendrás panel web, configuración por QR y túnel WireGuard funcionando en menos de quince minutos. Si después necesitas añadir OpenVPN para casos puntuales, puedes correr ambos en el mismo servidor sin conflicto.

openvpn wireguard vpn propia configurar vpn openvpn vs wireguard
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Mullvad VPN: la VPN sin cuentas ni registros para máxima privacidad
Herramientas de Seguridad

Mullvad VPN: la VPN sin cuentas ni registros para máxima privacidad

Pi-hole: bloquea publicidad y rastreadores en toda tu red
Herramientas de Seguridad

Pi-hole: bloquea publicidad y rastreadores en toda tu red

CrowdSec: el firewall comunitario que protege con inteligencia colectiva
Herramientas de Seguridad

CrowdSec: el firewall comunitario que protege con inteligencia colectiva

← Volver al blog